ChatGPT
Claude
Perplexity
Gemini
GrokPourquoi le registre des traitements est le premier document que l'APD demande lors d'un contrôle
Le Règlement général sur la protection des données (RGPD — Règlement UE 2016/679) impose à tout responsable de traitement de tenir un registre des activités de traitement (RAT). L'article 30 du RGPD est clair : cette obligation s'applique aux organismes qui comptent 250 employés ou plus, mais également — et sans seuil d'effectif — à tout organisme dont les traitements sont susceptibles d'engendrer un risque pour les droits et libertés des personnes, qui ne sont pas occasionnels, ou qui portent sur des catégories particulières de données.
En pratique, aucune haute école ni université belge n'échappe à cette obligation. Un établissement qui collecte des données de santé (aménagements raisonnables, handicap), qui profile des candidats à des fins de recrutement, ou qui déploie un chatbot IA pour ses admissions — soit l'immense majorité des établissements d'enseignement supérieur en Fédération Wallonie-Bruxelles — remplit au moins l'un de ces trois critères.
L'autorité compétente en Belgique est l'APD (Autorité de protection des données), et non la CNIL française. Lors d'un contrôle ou d'une plainte émanant d'un étudiant ou d'un candidat, le registre des traitements est le premier document que les inspecteurs de l'APD demandent. Son absence — ou son caractère lacunaire — aggrave systématiquement la position de l'établissement dans la procédure.
La loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (LVP) confirme cette obligation et prévoit des sanctions pénales complémentaires pour les manquements les plus graves, au-delà des amendes administratives prévues par le RGPD.
Pour replacer cette obligation dans le cadre réglementaire belge complet, consultez notre guide RGPD et données étudiantes pour établissements belges.
Ce que l'article 30 RGPD exige pour chaque activité de traitement
L'article 30 du RGPD définit le contenu minimal du registre côté responsable de traitement. Pour chaque activité de traitement documentée, le registre doit mentionner :
- Le nom et les coordonnées du responsable de traitement et, le cas échéant, du responsable conjoint et du délégué à la protection des données (DPD)
- Les finalités du traitement : pourquoi ces données sont-elles collectées ?
- Une description des catégories de personnes concernées (candidats, étudiants, alumni, membres du personnel…) et des catégories de données traitées
- Les catégories de destinataires auxquels les données sont communiquées, y compris les sous-traitants (éditeurs SaaS, agences de marketing, prestataires cloud)
- Les transferts vers des pays tiers ou des organisations internationales, et les garanties appropriées mises en place (clauses contractuelles types, décisions d'adéquation)
- Les délais de conservation prévus lorsque c'est possible
- Une description générale des mesures de sécurité techniques et organisationnelles
Pour les sous-traitants (prestataires qui traitent des données pour le compte de l'établissement), l'article 30.2 impose un registre distinct, généralement intégré dans les accords de traitement des données (DPA). Tout éditeur de chatbot, de CRM ou d'outil d'emailing déployé dans une haute école ou université belge est un sous-traitant au sens du RGPD.
Spécificités belges : ce que le contexte FWB ajoute au cadre européen
Pas de Parcoursup : une responsabilité de collecte entièrement portée par l'établissement
La différence fondamentale entre la France et la Belgique en matière de registre des traitements tient à l'organisation des admissions. En France, Parcoursup centralise une partie des données des candidats. En Belgique, il n'existe pas de plateforme nationale équivalente : chaque candidat s'inscrit directement auprès de l'établissement de son choix — qu'il s'agisse de l'ULB, d'UCLouvain, de l'ICHEC Brussels Management School ou de la Haute École Léonard de Vinci.
Cette responsabilité directe est totale. Toutes les données collectées lors de la candidature — formulaires de contact, échanges avec le chatbot, pièces jointes au dossier — sont traitées sous la seule responsabilité de l'établissement. Elles doivent toutes figurer dans le registre des traitements, sans exception.
Pour les filières contingentées (médecine, dentisterie, kinésithérapie), l'ARES (Académie de recherche et d'enseignement supérieur) organise les épreuves d'entrée obligatoires. L'ARES est responsable du traitement lié aux épreuves. Mais la candidature déposée sur le site de l'établissement — avant et après l'examen — reste un traitement distinct, sous la responsabilité exclusive de l'établissement. Le registre de l'école ne doit pas faire référence à l'ARES comme responsable conjoint pour ce traitement.
Loi du 30 juillet 2018 (LVP) : apports spécifiques au registre
La LVP étend l'obligation de désignation d'un DPD aux organismes exerçant une mission d'intérêt public, ce qui inclut les hautes écoles libres subventionnées, même celles de droit privé (ASBL, congrégations). Pour le registre, cela signifie que les coordonnées du DPD doivent figurer en tête de chaque fiche de traitement — et que le DPD doit être notifié à l'APD (notification formelle obligatoire).
La LVP prévoit également des sanctions pénales complémentaires (articles 222 à 230) pour les manquements aux obligations de tenue du registre dans des circonstances aggravantes. C'est une spécificité belge : en France, les sanctions RGPD sont exclusivement administratives au niveau de la CNIL. En Belgique, un DPD ou un directeur d'établissement peut, dans des cas extrêmes, engager sa responsabilité pénale.
Minerval et données financières : un traitement spécifique au contexte belge
Le minerval — les droits d'inscription à l'université en Belgique, environ 835 €/an pour les étudiants ressortissants UE dans les universités de la FWB — génère des données financières qui doivent figurer dans le registre. Les bases légales applicables sont l'exécution du contrat (article 6.1.b RGPD) pour la facturation, et l'obligation légale (article 6.1.c) pour la transmission aux autorités compétentes.
Les bourses de la Fédération Wallonie-Bruxelles impliquent des échanges de données entre l'établissement et les services de la FWB : ces flux doivent être documentés dans le registre sous l'activité « gestion financière des étudiants » avec mention des destinataires institutionnels.
Modèle de registre des traitements pour hautes écoles et universités belges
Le tableau ci-dessous présente trois fiches de traitement représentatives des activités les plus souvent auditées par l'APD dans le secteur de l'enseignement supérieur en Fédération Wallonie-Bruxelles.
| Activité de traitement | Catégories de personnes | Données traitées | Base légale (art. 6 RGPD) | Destinataires | Conservation | Transfert hors UE |
|---|---|---|---|---|---|---|
| Dossier de candidature (inscription directe ou filière contingentée ARES) | Candidats à l'inscription | Nom, prénom, email, téléphone, date de naissance, CESS, relevés de notes, lettre de motivation, pièces d'identité | Art. 6.1.b — mesures précontractuelles | Services admissions, jury d'admission, DPD | 2 ans après la fin de la procédure (candidats non admis) ; durée de la scolarité + 30 ans (diplômés) | Non — traitement interne ou hébergement UE |
| Marketing emailing et prospection (relances JPO, salons, newsletters programmes) | Prospects, candidats ayant consenti | Email, prénom, programme d'intérêt, historique d'ouverture | Art. 6.1.a — consentement (marketing) ; art. 6.1.f — intérêt légitime (relances dossier actif) | Service marketing, éditeur plateforme emailing (sous-traitant — DPA signé) | 3 ans après le dernier contact (prospects) ; jusqu'au retrait du consentement (marketing) | Selon hébergement éditeur — CCT requises si hors UE |
| Chatbot IA d'admission (questions FAQ, qualification de leads, orientation programme) | Visiteurs du site, prospects | Contenu des conversations, email/téléphone si fournis volontairement, programme consulté, horodatage | Art. 6.1.f — intérêt légitime (conversations anonymes) ; art. 6.1.a — consentement (identification volontaire) | Éditeur chatbot (sous-traitant — DPA signé), service admissions (leads qualifiés uniquement) | 90 jours (conversations anonymes) ; 12 mois après le dernier contact (prospects identifiés) | Vérifier l'hébergement de l'éditeur — exiger region UE ou CCT |
Ce modèle n'est pas exhaustif. Un registre complet pour une université comme l'ULiège ou UCLouvain comprend généralement entre 40 et 80 fiches de traitement distinctes, couvrant la gestion académique, la vie étudiante, les ressources humaines, la recherche, la vidéosurveillance, les alumni et les partenariats. Pour une haute école de taille intermédiaire comme l'ICHEC ou la Haute École Léonard de Vinci, le périmètre est plus limité mais ne descend pas sous la vingtaine d'activités de traitement.
Le chatbot IA : l'activité de traitement la plus complexe à documenter
Le déploiement d'un chatbot IA dans le cycle d'admission est devenu courant dans les hautes écoles et universités belges. C'est aussi l'activité de traitement qui soulève le plus de questions lors des audits APD — et celle dont la documentation dans le registre est le plus souvent lacunaire.
72 % des questions posées par les candidats sont des FAQ automatisables par chatbot IA, et seulement 7 % nécessitent une intervention humaine (Source : benchmark Skolbot, 12 000 conversations sur établissements FWB, 2025-2026). Ce volume justifie pleinement le déploiement d'un chatbot — mais impose une documentation rigoureuse.
Les points spécifiques à documenter dans la fiche de traitement « chatbot IA » :
Identification du sous-traitant. L'éditeur du chatbot est un sous-traitant au sens de l'article 28 RGPD. Un accord de traitement des données (DPA) signé est obligatoire avant tout déploiement. Le DPA doit préciser l'emplacement des serveurs (obligatoirement dans l'UE ou couvert par des clauses contractuelles types validées par l'EDPB), les sous-sous-traitants éventuels (modèles de langage tiers comme GPT ou Claude), et les conditions de suppression des données à la résiliation du contrat.
Minimisation et collecte progressive. Le registre doit refléter la pratique réelle de collecte. Un chatbot conforme au principe de minimisation (article 5.1.c RGPD) ne demande pas nom et email dès la première interaction. Les conversations anonymes et les conversations identifiées doivent être documentées comme deux traitements aux bases légales distinctes : intérêt légitime pour les échanges anonymes, consentement pour la collecte d'identifiants.
Transparence IA Act. Depuis août 2026, les obligations de l'IA Act (Règlement UE 2024/1689) s'appliquent pleinement. Un chatbot d'admission relève du risque limité (article 50 IA Act) : obligation de transparence envers l'utilisateur qu'il interagit avec une IA. Cette mention doit figurer dans l'interface du chatbot et dans la fiche de traitement correspondante du registre.
Les établissements qui déploient un chatbot conforme voient en médiane +62 % de leads qualifiés et -38 % de coût par lead (Source : résultats Skolbot, 18 hautes écoles et universités FWB, 2024-2025). La conformité RGPD documentée dans le registre n'est pas un frein au déploiement — c'est la condition préalable à un déploiement serein.
Comment tenir le registre à jour : gouvernance et révision
Désigner un propriétaire pour chaque activité de traitement
La pratique recommandée par l'APD est d'assigner un « propriétaire métier » à chaque fiche de traitement — le responsable du service qui pilote l'activité (directeur des admissions pour la gestion des candidatures, responsable marketing pour la prospection, DSI pour les outils numériques). Le DPD coordonne et contrôle, mais ne peut pas être l'unique propriétaire de l'ensemble du registre : cela crée un goulot d'étranglement et nuit à la qualité des informations.
Si votre établissement n'a pas encore de DPD désigné ou envisage d'externaliser cette fonction, notre article sur le DPO externalisé pour haute école privée en Belgique détaille les modèles disponibles et leur coût réel.
Réviser le registre à chaque nouveau traitement
L'article 30 impose de tenir le registre « à jour ». En pratique, cela signifie une révision formelle à chaque déploiement d'un nouvel outil numérique (nouveau CRM, nouveau chatbot, nouveau module d'analytics), à chaque changement de prestataire, et au minimum une fois par an pour l'ensemble du registre.
Le registre n'est pas un document figé. Une haute école qui remplace son outil d'emailing ou qui change d'éditeur de chatbot doit mettre à jour la fiche correspondante avant le déploiement du nouvel outil — pas après. La Chambre Contentieuse de l'APD a sanctionné plusieurs organismes pour des registres « périmés » ne reflétant pas les traitements effectivement en cours.
Format : aucune forme imposée, mais des exigences de fond
Le RGPD ne prescrit pas de format particulier pour le registre. Il peut être tenu sur un tableur Excel, dans un outil dédié (OneTrust, Privacymaps, DPOrganizer…), ou dans un document partagé. Ce qui compte pour l'APD, c'est que le document soit :
- Accessible en cas de contrôle (délai raisonnable de quelques heures, pas de semaines)
- Rédigé de manière compréhensible par des non-juristes (les inspecteurs APD vérifieront la cohérence entre le registre et les pratiques réelles)
- Complet pour chaque activité de traitement (les huit éléments de l'article 30 doivent être renseignés)
- À jour (la date de dernière révision doit figurer sur chaque fiche)
Pour les durées de conservation des données collectées à l'étape candidature et prospection, consultez notre guide détaillé sur la durée de rétention des données prospect — les recommandations de l'APD et celles d'autres autorités européennes convergent sur ce point, même si l'autorité compétente en Belgique reste l'APD et non la CNIL.
FAQ — Registre des traitements RGPD pour établissements belges
Notre haute école est-elle obligée de tenir un registre des traitements ?
Oui, sans exception. L'article 30 RGPD prévoit une exemption pour les organisations de moins de 250 employés dont les traitements ne présentent pas de risque, ne sont pas réguliers, et ne portent pas sur des données sensibles — trois conditions cumulatives. Une haute école ou université belge ne remplit jamais les trois conditions simultanément : elle traite des données sensibles (santé, handicap), ses traitements sont continus (scolarité, admissions), et plusieurs activités (chatbot IA, profilage marketing) présentent un risque. L'APD considère que l'obligation s'applique à l'ensemble du secteur de l'enseignement supérieur.
Le registre doit-il être communiqué à l'APD spontanément ?
Non. Le registre est un document interne que l'établissement doit conserver et tenir à jour. Il n'est pas transmis à l'APD de manière proactive. En revanche, en cas de contrôle ou de plainte, l'APD peut en exiger la communication. Les inspecteurs peuvent également demander à le consulter lors d'une visite sur site. Il doit donc être prêt à être présenté à tout moment, sans délai de préparation.
Quelle est la différence entre le registre des traitements et l'analyse d'impact (AIPD) ?
Le registre des traitements (article 30 RGPD) est un inventaire structuré de toutes les activités de traitement de l'établissement. Il est obligatoire pour tous les traitements. L'analyse d'impact relative à la protection des données (AIPD — article 35 RGPD) est une évaluation approfondie des risques pour les droits et libertés, requise uniquement pour les traitements susceptibles d'engendrer un risque élevé : chatbot IA collectant des données personnelles à grande échelle, scoring automatisé des candidatures, vidéosurveillance des auditoires, profilage systématique des prospects. L'AIPD complète le registre — elle ne le remplace pas. En cas de risque résiduel élevé après l'AIPD, une consultation préalable de l'APD (article 36) est obligatoire avant de lancer le traitement.
L'ARES doit-elle figurer dans notre registre comme destinataire de données ?
Oui, pour les traitements qui impliquent une transmission vers l'ARES. Dans les filières contingentées (médecine, dentisterie, kinésithérapie), l'établissement transmet certaines informations à l'ARES dans le cadre de la procédure d'examen d'entrée. Ces transmissions constituent des communications à un tiers institutionnel et doivent figurer dans la colonne « destinataires » de la fiche de traitement correspondante. La base légale applicable est l'obligation légale (article 6.1.c RGPD). L'ARES sera également responsable de traitement pour les données qu'elle collecte directement lors de l'examen — mais cela ne concerne pas le registre de votre établissement, qui ne couvre que les traitements dont vous êtes responsable.
Un chatbot IA d'un prestataire basé aux États-Unis est-il documentable dans le registre ?
Oui, mais avec des conditions strictes. Si le serveur de traitement des données est situé hors de l'UE (notamment aux États-Unis), la fiche de traitement du chatbot doit mentionner le transfert hors UE et les garanties mises en place : clauses contractuelles types (CCT) de la Commission européenne, ou décision d'adéquation. Depuis l'invalidation de Privacy Shield en 2020 et l'adoption du Data Privacy Framework UE-États-Unis en 2023, les transferts vers des prestataires américains certifiés DPF sont possibles — à condition de vérifier la certification active du prestataire sur le registre officiel du DPF. L'APD belge est particulièrement vigilante sur ce point depuis 2025, dans le contexte des contrôles liés à l'IA dans l'éducation.
Un registre des traitements rigoureux n'est pas une formalité administrative : c'est l'outil de gouvernance qui permet à votre DPD, à votre direction et à vos équipes opérationnelles de parler le même langage en matière de protection des données. Pour les hautes écoles et universités belges qui déploient des outils numériques dans leurs cycles d'admission, c'est aussi le document qui protège l'établissement en cas de contrôle de l'APD ou de plainte d'un candidat.
Commencez par les trois activités de traitement à plus fort risque — dossier de candidature, emailing marketing, chatbot IA — et étendez progressivement à l'ensemble du périmètre. Le modèle présenté dans cet article vous donne une base documentée et conforme aux attentes de la Chambre Contentieuse de l'APD.
Demandez une démo personnalisée
